PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM …

UNIVERZA V MARIBORU

FAKULTETA ZA ELEKTROTEHNIKO,

RAČUNALNIŠTVO IN INFORMATIKO

Aljaž Cokan

PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM OMREŽJU

Diplomsko delo

Maribor, december 2015

1

PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V

LOKALNEM OMREŽJU

Diplomsko delo

Študent: Aljaž Cokan

Študijski program: VS ŠP Elektrotehnika

Smer: Telekomunikacije

Mentor: izr. prof. dr. Andrej Žgank

Somentor: doc. dr. Janez Stergar

Lektor(ica): Ana Marija Skelo

2

Smetanova ulica 17

2000 Maribor, Slovenija

Številka: E1010273

Datum in kraj: 19.11.2015, Maribor

Na osnovi 330. člena Statuta Univerze v Mariboru (Ur. l. RS, št. 44/2015)

SKLEP O DIPLOMSKEM DELU

1. Aljaž Cokan, študentu visokošolskega strokovnega študijskega programa ELEKTROTEHNIKA, smer Telekomunikacije, se dovoljuje izdelati diplomsko delo.

2. MENTOR: izr. prof.dr. Andrej Žgank

SOMENTOR: doc. dr. Janez Stergar, Agencija za energetiko

3. Naslov diplomskega dela:

PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM OMREŽJU

4. Naslov diplomskega dela v angleškem jeziku:

LOCAL AREA NETWORK ACCESS CONTROL WITH THE IEEE 802.1x

PROTOCOL

5. Diplomsko delo je treba potrebno izdelati skladno z “Navodili za izdelavo diplomskega dela” in ga oddati v treh izvodih (dva trdo vezana izvoda in en v spiralo vezan izvod) ter en izvod elektronske verzije do 30.09.2015 v referatu za študentske zadeve.

Pravni pouk: Zoper ta sklep je možna pritožba na senat članice v roku 3 delovnih dni.

Dekan: Red. Prof. Dr. Borut Žalik

Obvestiti:

kandidatko,

mentorja,

somentorja,

odložiti v arhiv.

3

Protokol IEEE 802.1x za nadzor dostopa v lokalnem omrežju

Ključne besede: IEEE 802.1x, RADIUS, varnost, overjanje, lokalno omrežje

UDK: 621.395.741(043.2)

Povzetek

Namen diplomskega dela je demonstrirati koncept dodatnega varovanja omrežja podjetja

z uporabo protokola IEEE 802.1x. Diplomsko delo opisuje postavitev strežnika, z

aktiviranim NAP DHCP in NAP 802.1x skupaj s stikalom in odjemalcem. Na strežniku je

nameščen operacijski sistem Windows 2008r2, za stikalo je uporabljen Cisco Catalyst

2950, ter računalnik oz. mobilni telefon kot odjemalec. Cilj uporabe mobilne naprave je bil

spoznati podporne funkcije strežnika RADIUS, delovanje skupinske politike, komunikacija

med napravami in zaščita omrežja. Osnovni sistem se lahko nadgradi, ker je protokol

802.1x zelo obširen. Osnovni sistem, ki smo ga postavili, je primeren za manjša podjetja

ali spoznavanju protokola IEEE 802.1x.

4

Local Area Network access control with the IEEE 802.1x protocol

Key words: IEEE 802.1x, RADIUS, security, authentication, local area network

UDK: 621.395.741(043.2)

Abstract

The purpose of the study is to demonstrate the concept of a supplementary protection of

the corporate network using the IEEE 802.1x protocol. The thesis describes a server with

an activated DHCP NAP and NAC 802.1x along with the switch and the mobile client. The

server is running Windows 2008R2, for the switch a Cisco Catalyst 2950 was used with a

computer or mobile phone as a client. The objective of the use of mobile devices was to

meet supporting functions of the RADIUS server, the operation of group policy,

communication between devices and network protection. The basic system can be

upgraded, because the 802.1x protocol is very extensive. The base system that was

described in the paper is suitable for small businesses or as an introduction study of the

IEEE 802.1x protocol.

5

Smetanova ulica 17


I Z J A V A O A V T O R S T V U

Spodaj podpisani/-a

ALJAŽ COKAN

z vpisno številko

E1010273

sem avtor/-ica diplomskega dela z naslovom:

PROTOKOL IEEE 802.1x ZA NADZOR

DOSTOPA V LOKALNEM OMREŽJU

(naslov diplomskega dela)

S svojim podpisom zagotavljam, da:

sem diplomsko delo izdelal/-a samostojno pod mentorstvom (naziv, ime in priimek)

izr. prof. dr. Andrej Žgank

in somentorstvom (naziv, ime in priimek)

doc. dr. Janez Stergar

so elektronska oblika diplomskega dela, naslov (slov., angl.), povzetek (slov., angl.) ter ključne

besede (slov., angl.) identični s tiskano obliko diplomskega dela.

soglašam z javno objavo elektronske oblike diplomskega dela v DKUM.

V Mariboru, dne

Podpis avtorja/-ice:

6

Smetanova ulica 17


IZJAVA O USTREZNOSTI ZAKLJUČNEGA DELA

Podpisani mentor :


(ime in priimek mentorja)

in somentor (eden ali več, če obstajata):


(ime in priimek somentorja)

Izjavljam (-va), da je študent

Ime in priimek: Aljaž Cokan

Vpisna številka:E1010273

Na programu:VS ŠP Elektrotehnika

izdelal zaključno delo z naslovom:

Protokol IEEE 802.1x za nadzor dostopa v lokalnem omrežju

(naslov zaključnega dela v slovenskem in angleškem jeziku)

Local area network access control with the IEEE 802.1x protocol

v skladu z odobreno temo zaključnega dela, Navodilih o pripravi zaključnih del in mojimi (najinimi oziroma

našimi) navodili.

Preveril (-a, -i) in pregledal (-a, -i) sem (sva, smo) poročilo o plagiatorstvu.

Datum in kraj: Podpis mentorja:

Datum in kraj: Podpis somentorja (če obstaja):

Priloga:

- Poročilo o preverjanju podobnosti z drugimi deli.«

7

Smetanova ulica 17


IZJAVA O ISTOVETNOSTI TISKANE IN ELEKTRONSKE VERZIJE ZAKLJUČNEGA DELA IN

OBJAVI OSEBNIH PODATKOV DIPLOMANTOV

Ime in priimek avtorja-ice:

ALJAŽ COKAN

Vpisna številka:

E1010273

Študijski program:

VS ŠP ELEKTROTEHNIKA

Naslov zaključnega dela:

PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM

OMREŽJU

Mentor:


Somentor:


Podpisani-a ALJAŽ COKAN izjavljam, da sem za potrebe arhiviranja oddal

elektronsko verzijo zaključnega dela v Digitalno knjižnico Univerze v Mariboru. Zaključno delo sem izdelal-

a sam-a ob pomoči mentorja. V skladu s 1. odstavkom 21. člena Zakona o avtorskih in sorodnih pravicah

dovoljujem, da se zgoraj navedeno zaključno delo objavi na portalu Digitalne knjižnice Univerze v Mariboru.

Tiskana verzija zaključnega dela je istovetna z elektronsko verzijo elektronski verziji, ki sem jo oddal za

objavo v Digitalno knjižnico Univerze v Mariboru.

Zaključno delo zaradi zagotavljanja konkurenčne prednosti, varstva industrijske lastnine ali tajnosti podatkov

naročnika: ne sme biti javno

dostopno do (datum odloga

javne objave ne sme biti daljši kot 3 leta od zagovora dela).

Podpisani izjavljam, da dovoljujem objavo osebnih podatkov, vezanih na zaključek študija (ime, priimek,

leto in kraj rojstva, datum zaključka študija, naslov zaključnega dela), na spletnih straneh in v publikacijah

UM.

Datum in kraj: Podpis avtorja-ice:

Podpis mentorja:

(samo v primeru, če delo ne sme biti javno dostopno)

Podpis odgovorne osebe naročnika in žig:

(samo v primeru, če delo ne sme biti javno dostopno)

8

ZAHVALA

Zahvaljujem se mentorju izr. prof. dr.

Andreju Žganku, somentorju doc. dr. Janezu

Stergarju in mentorju v podjetju Stebri d.o.o.,

Petru Mlekušu, dipl. inž. el., za pomoč in

vodenje pri opravljanju diplomskega dela.

Prav tako se podjetju Stebri d.o.o.

zahvaljujem za vse nasvete in opremo ter

seveda staršem in še posebej Moniki za

podporo in vztrajnost.

9

VSEBINA:

1 UVOD ....................................................................................................................................... 1

1.1 UVOD V VAROVANJE LAN ............................................................................................................... 1

1.2 UVOD V USMERJEVALNE PROTOKOLE ............................................................................................ 3

1.2.1 Protokoli na osnovi vektorja razdalje ............................................................................................... 3

1.2.2 Protokoli, ki temeljijo na stanju povezav ......................................................................................... 4

2 PROTOKOL IEEE 802.1X .................................................................................................... 6

2.1 Prednosti in slabosti protokola IEEE 802.1x. .................................................................................. 7

2.2 Pregled funkcionalnosti protokola ................................................................................................. 8

2.3 Vzpostavitev seje AAA .................................................................................................................... 9

2.3.1 Overjanje .......................................................................................................................................... 9

2.3.2 Dovoljenje ........................................................................................................................................ 9

2.3.3 Beleženje ........................................................................................................................................ 10

2.4 Protokoli EAP, EAPoL, RADIUS, PEAP ............................................................................................ 10

2.4.1 Protokol EAP .................................................................................................................................. 10

2.4.2 EAP-TLS .......................................................................................................................................... 11

2.4.3 PEAP – MSCHAPv2 ......................................................................................................................... 12

2.4.4 PEAP-MD5-Challenge ..................................................................................................................... 15

2.4.5 Protokol EAPoL ............................................................................................................................... 15

2.4.6 Protokol RADIUS ............................................................................................................................ 15

2.5 Dovolitvene opcije protokola IEEE 802.1x .................................................................................... 18

3 DOBRA PRAKSA NAČRTOVANJA ........................................................................... 19

3.1 Scenarij implementacije ............................................................................................................... 19

3.2 Overjanje uporabnikov in naprav ................................................................................................. 19

3.3 Izbira prosilcev ............................................................................................................................. 19

3.4 Izbira overitvenega strežnika........................................................................................................ 19

10

3.5 Ponovna overitev ......................................................................................................................... 20

3.6 Odprti dostop ............................................................................................................................... 20

3.7 WoL in protokol IEEE 802.1X ........................................................................................................ 20

3.8 Končni prosilci z nepodprtim standardnim protokolom IEEE 802.1x ............................................. 21

3.9 Končne točke z neustreznimi poverilnicami .................................................................................. 21

3.10 Nedosegljiv overitveni strežnik .................................................................................................... 21

3.11 Časovniki in spremenljivke ........................................................................................................... 22

3.12 IP telefonija in protokol IEEE 802.1x ............................................................................................. 22

3.13 Varnostne funkcije na stikalih ...................................................................................................... 23

3.14 Microsoft NAP .............................................................................................................................. 24

4 PRAKTIČNA IMPLEMENTACIJA ............................................................................... 25

5 CISCO PACKET TRACER ............................................................................................. 44

5.1 Nastavitve strežnika ..................................................................................................................... 45

5.2 Nastavitve usmerjevalnika ........................................................................................................... 47

5.3 Nastavitve stikala ......................................................................................................................... 50

5.4 Nastavitve računalnikov in telefona ............................................................................................. 54

6 SKLEP .................................................................................................................................. 60

7 VIRI ........................................................................................................................................ 62

8 PRILOGE ............................................................................................................................... 63

8.1 Seznam slik .......................................................................................... Error! Bookmark not defined.

8.2 Seznam preglednic .............................................................................. Error! Bookmark not defined.

11

8.3 Naslov študenta ........................................................................................................................... 63

8.4 Kratek življenjepis ............................................................................... Error! Bookmark not defined.

KAZALO SLIK:

SLIKA 1: PRIMER KONFIGURACIJE VLAN1,2,3 IN 4. ...................................................................................................... 3

SLIKA 2: DELOVANJE PROTOKOLA, KI TEMELJI NA VEKTORJU RAZDALJE. .............................................................................. 4

SLIKA 3: PROTOKOLI, KI TEMELJIJO NA STANJU POVEZAVE. .............................................................................................. 5

SLIKA 4: PRIMER UPORABE PROTOKOLA IEEE 802.1X V OMREŽJU. .................................................................................. 7

SLIKA 5:VZPOSTAVITEV SEJE AAA. ............................................................................................................................. 9

SLIKA 6: EAP-TLS (VIR: IEEE 802.1X CISCO IMPLEMENTAITON GUIDE). ........................................................................ 12

SLIKA 7: PEAP-MSCHAPV2 ................................................................................................................................. 13

SLIKA 8: POSTOPEK PODPISOVANJA. ........................................................................................................................ 14

SLIKA 9: ZGRADBA PAKETA RADIUS (VIR: WIKIPEDIA). ............................................................................................... 16

SLIKA 10: FORMAT AV PARA (VIR: WIKIPEDIA). ......................................................................................................... 16

SLIKA 11: NAP METODE ........................................................................................................................................ 24

SLIKA 12: ZASNOVA OMREŽJA, UPORABLJENEGA PRI PRAKTIČNI IMPLEMENTACIJI............................................................... 25

SLIKA 14: NASTAVITEV IMENA, VLOG IN NASLOVA IP STREŽNIKA. ................................................................................... 26

SLIKA 15: DODAJANJE UPORABNIKA. ........................................................................................................................ 27

SLIKA 16: KONFIGURACIJA SKUPINSKE POLITIKE. .......................................................................................... 28

SLIKA 17: NAMESTITEV NAP DHCP-JA ......................................................................................................... 29

SLIKA 18: NASTAVITEV STIKALA KOT RADIUS ODJEMALCA NA STREŽNIKU. ................................................... 30

SLIKA 19: NASTAVITEV DODELJEVANJA NASLOVOV IP IN DOMEN. ................................................................. 30

SLIKA 20: UPRAVLJANJE S POLITIKO (V TEM PRIMERU AKTIVIRANJE AGENTA NAP). .................................... 31

SLIKA 21: POSTAVITEV RAČUNALNIKA V DOMENO. ......................................................................................... 32

SLIKA 22: NASTAVITEV SAMODEJNE PRIDOBITVE NASLOVOV IP IN DNS-JA. ................................................ 32

SLIKA 23: PRIKAZ V UKAZNEM POZIVU, DA STA NAP DHCP VSILJEVANJE IN GP AKTIVNA. ......................... 33

SLIKA 24: DELOVANJE NAP NA RAČUNALNIKU. ............................................................................................. 33

SLIKA 25: PRIKAZ DELOVANJA DOMENE. ........................................................................................................ 34

SLIKA 26: WIRESHARK - PRIKAZ DELOVANJA PROTOKOLA RADIUS............................................................. 35

SLIKA 27: PREGLED AV PAROV V PROGRAMSKI OPREMI WIRESHARK .......................................................... 36

SLIKA 28: NASTAVITEV VSILJEVANJA NAP IEEE 802.1X. ............................................................................. 37

12

SLIKA 29: NASTAVITEV PROMETA ZA NEOMEJEN/OMEJEN DOSTOP. .............................................................. 37

SLIKA 30: NASTAVITVE POŽARNEGA ZIDU....................................................................................................... 38

SLIKA 31:PROGRAMSKA OPREMA PUTTY. .................................................................................................... 39

SLIKA 32: STIKALO V VLOGI OVERITELJA. ....................................................................................................... 41

SLIKA 33: PRIKAZ, KAKO OMOGOČITI ZAHTEVEK ZA OVERITEV ...................................................................... 42

SLIKA 34: WIRESHARK PRIKAZ DELOVANJA PROTOKOLA RADIUS ............................................................... 43

SLIKA 35: PRIKAZ SCENARIJA. ........................................................................................................................ 44

SLIKA 36: OMREŽNE NASTAVITVE STREŽNIKA. ............................................................................................... 45

SLIKA 37: KONFIGURIRANJE DHCP. .............................................................................................................. 46

SLIKA 38: AAA STORITEV. .............................................................................................................................. 47

SLIKA 39: OSNOVNA NASTAVITEV USMERJEVALNIKA. .................................................................................... 48

SLIKA 40: KONFIGURACIJA BREZŽIČNEGA OMREŽJA. ..................................................................................... 49

SLIKA 41: USTVARJANJE KOMUNIKACIJE MED STREŽNIKOM IN USMERJEVALNIKOM. ..................................... 50

SLIKA 42: NASTAVITVE STIKALA. ..................................................................................................................... 52

SLIKA 43: CLI VMESNIK ZA VNOS NASTAVITEV STIKALA. ................................................................................ 53

SLIKA 44: PC3 NE DOBI NASLOVA IP. ............................................................................................................. 54

SLIKA 45: VNOS BREZŽIČNEGA MODULA. SLIKA 46: NASTAVITEV BREZŽIČNE POVEZAVE NA PRENOSNEM

RAČUNALNIKOV. ...................................................................................................................................... 55

SLIKA 47: NASTAVITEV BREZŽIČNE POVEZAVE NA PAMETNEM TELEFONU. .................................................... 55

SLIKA 48: OSNOVNI MENI. SLIKA 49: VSA BREZŽIČNA OMREŽJA. ........................................................... 56

SLIKA 50: ČE ŽELIMO VZPOSTAVITI POVEZAVO NAM JAVI OPOZORILO, DA MORAMO NAJPREJ USTVARITI

PROFIL. ................................................................................................................................................... 56

SLIKA 51: USTVARJANJE UPORABNIKA. SLIKA 52: IZBIRA OMREŽJA. ....................................................... 57

SLIKA 53: IZBIRA BREZŽIČNE POVEZAVE SLIKA 54: NASTAVITVE OMREŽJA. ........................................... 57

SLIKA 55: IZBIRA OVERITVE. ........................................................................................................................... 58

SLIKA 56: PREGLED NASTAVITEV. SLIKA 57: PREGLED PROFILA. ........................................................... 58

SLIKA 58: USPEŠNA VZPOSTAVITEV BREZŽIČNE POVEZAVE. ......................................................................... 59

KAZALO TABEL:

TABELA 1: FORMAT SPOROČILA EAP. ............................................................................................................ 10

TABELA 2: SEZNAM POGOSTIH RADIUS KOD ................................................................................................ 17

TABELA 3: AV PARI ......................................................................................................................................... 17

13

SEZNAM UPORABLJENIH KRATIC IN SIMBOLOV

AAA Authentication, Authorization and Accounting (overitev, avtorizacija in

obračunavanje)

Access point Dostopovna točka

AD Active Directory (aktivni imenik)

AES Advance Encryption Standard (standard naprednega šifriranja)

ARP Address Resolution Protocol (protokol za prevedbo naslovov)

CLI Command Line Interface (ukazna vrstica)

DES Data Encryption Standard (standard podatkovnega šifriranja)

DSL Digital Subscriber Line (digitalna naročniška linija)

EAP Extensible Authentication Protocol (razširljivi overitveni protokol)

EAP-MD5 EAP-Message Digest 5 (EAP-s šifriranjem MD5 )

EAP-MSCHAPv2 EAP-Microsoft Challenge Handshake Authentication Protocol version

2 (razširljiv overitveni protokol - Microsoftov overitveni protokol z

izzvanim rokovanjem različica 2)

EAP-TLS EAP-Transport Layer Security (overitveni protokol z varovanjem

transportnega sloja)

EAPoL EAP over LAN (EAP v omrežju LAN)

IPsec Internet Protocol Security (varnostni omrežni protokol)

LAN Local Area Network (lokalno računalniško omrežje)

LEAP Lightweight Extensible Authentication Protocol (enostaven razširljiv

overitveni protokol)

MDA Multi-Domain Authentication (večdomenska overitev)

NAC Network Admission Control (krmiljenje dostopa do omrežja)

NAP Network Access Protection (zaščita omrežnega dostopa)

NAS Network Access Server (strežnik omrežnega dostopa)

OSPF Open Shortest Path First (protokol na osnovi najkrajše povezave)

PAE Port Access Entity (dostopovna entiteta)

PKI Public Key Infrastructure (infrastruktura javnih ključev)

PPP Point to Point Protocol (protokol od točke do točke)

RADIUS Remote Authentication Dial-In User Service (uporabniška storitev z

oddaljeno overitvijo)

RFC Request for Comments (zahtevek za pripombe)

14

TKIP Temporal Key Integrity Protocol (protokol neokrnjenosti začasnega

ključa)

UDP User Datagram Protocol (uporabniški podatkovni protokol)

VLAN Virtual LAN (navidezni LAN)

VPN Virtual Private Network (navidezno zasebno omrežje)

WAN Wide Area Network (prostrano računalniško omrežje)

WoL Wake–on-Lan (protokol za vklop oz. izklop naprav preko omre

1

1 UVOD

Živimo v času, ko je zloraba podatkov in neupravičen dostop v tuja omrežja vse

pogostejši. Zato se v podjetjih uporabljajo različni protokoli za varovanje dostopa.

Diplomsko delo se ukvarja z varnostjo lokalnega omrežja s podporo protokola IEEE

802.1x. To pomeni, da omogočimo uporabniku oziroma določeni napravi dostop do

omrežja in njegovo uporabo le pri izpolnjenih pogojih (ima dovoljenje in je ustrezno

varnostno preverjen).

Cilj diplomskega dela se je spoznati z osnovami omreževanja − kako deluje, kakšno je

delovanje omrežja v podjetjih, zakaj se uporabljajo različni VLAN-i in s kakšnimi protokoli

se soočamo, s stikali − uporaba stikal v omrežjih in konfiguracija, s strežniki Windows

Server 2008r2 − kaj je strežnik, kakšne so funkcije strežnika, zakaj se uporablja in

obravnava protokola IEEE 802.1x − kakšno je njegovo delovanje, kje in zakaj se lahko

uporablja, njegove notranje mehanizme in implementacijo storitev na fizičnem nivoju ter

ustvarjanje osnovnega principa z možnostjo nadgradnje.

V nadaljevanju bomo opisali, kaj so VLAN-i, protokol RADIUS, metode overjanja, protokol

IEEE 802.1x ter zakaj se le-ti uporabljajo. Diplomsko delo najprej predstavi LAN-e, ki so

osnova interneta, s katerimi lažje upravljamo omrežja in nastavitve znotraj podomrežij za

prosilce (VLAN-i). Sledi jedro diplomskega dela, protokol IEEE 802.1x. To je kompleksen

protokol, ki se pogosto uporablja v podjetjih, saj izboljša varnost omrežja. Za

demonstracijo delovanja tega protokola potrebujemo strežnik, stikalo in odjemalca

(računalnik). Osnovna konfiguracija je opisana pod rubriko implementacija scenarija. Prav

tako je dodano podpoglavje s programsko opremo za pregledovanje prometa WireShark

in programsko opremo za virtualno predstavitev scenarija in nastavitve naprav in omrežja.

1.1 UVOD V VAROVANJE LAN-a

LAN je kratica za lokalno računalniško omrežje. Je osnovno zasebno omrežje

posameznih računalniških naprav, priklopljenih nanj (doma, v podjetjih …). Več lokalnih

2

omrežij potem povezujejo prostrana računalniška omrežja − WAN. Ta imajo vse lastnosti

LAN-a, vendar pokrivajo širše geografsko območje (velika mesta, države …).

VLAN-i so logične, torej navidezne razširitve domene, ki jih uporabljamo v fizičnih LAN

omrežjih. Z VLAN-i dosežemo logično topologijo omrežja, ki omogoča združevanje

prosilcev glede na njihovo vlogo. VLAN-i so nastali, da bi segmentirali odjemalce v

navidezno ločene LAN-e. Uporabniki se ne segmentirajo fizično, ampak logično, s

konfiguracijo na stikalih. Naj gre tukaj za uporabo različnih aplikacij in storitev, omejevanje

prosilcev zaradi kršenja pravil v omrežnem sistemu ali zgolj za lažjo razporeditev

prosilcev, ne glede na fizično lokacijo v omrežju. Gostitelji ne ločijo med LAN-i in VLAN-i,

zato za to poskrbi protokol za označevanje podatkovnega prometa odjemalcev na stikalih,

ki označuje vsak oddan okvir odjemalca.

Dodatna prednost VLAN-ov je izolacija razpršenega prometa v t. i. logične razpršilne

domene, kar ima za posledico razbremenitev vmesnikov na stikalu. Stikala logično

ločujejo naprave s pomočjo programske opreme oz. implementiranimi namenskimi

protokoli, s katerimi označujejo okvire odjemalcev za vsaka vrata na stikalu oz. vsak

posamezni VLAN. Obstajajo tudi drugi protokoli za označevanje okvirov, ki pa so vezani

na proizvajalca omrežne opreme.

Primer uporabe podomrežij in navideznih omrežij kaže, kako pripraviti konfiguracijo, če

imamo en naslovni prostor IP, ki je na primer 192.168.123.0/24 (število 24 je maska

podomrežja 255.255.255.0). Prvi in zadnji naslov sta ID podomrežja (192.168.123.0) in

naslov za razpršeno oddajanje (192.168.123.255), tako da imamo na razpolago naslove

od 192.168.123.1 do 192.168.123.254. Omrežje smo razčlenili v štiri podomrežja z

ločenimi naslovnimi prostori:

VLAN1 je dodeljen naslovni prostor od 192.168.123.1 do 192.168.123.62;

VLAN2 od 192.168.123.65 do 192.168.123.126;

VLAN3 od 192.168.123.129 do 192.168.123.190 in

VLAN4 so dodeljeni IP naslovi od 192.168.123.193 do 192.168.123.254.

Ker smo razdelili naslovni prostor na četrtine, se je spremenila tudi maska podomrežja, in

sicer na 192.168.123.0/26 (255.255.255.192). Slika 1 nazorno pokaže VLAN1, 2, 3 in 4 z

danimi naslovi IP.

3

Slika 1: Primer konfiguracije VLAN1, 2, 3 in 4.

1.2 UVOD V USMERJEVALNE PROTOKOLE

Usmerjevalni protokoli so protokoli, s katerimi usmerjevalniki komunicirajo med seboj in

omogočajo posredovanje informacij, s katerimi omogočajo izbiro optimalne poti do

naslednjega usmerjevalnika. Temu pravimo usmerjevalne tabele. Protokoli delijo to

informacijo s sosednjimi usmerjevalniki, nato pa v celotno omrežje in tako dobijo znanje o

topologiji omrežja, v katerem se nahajajo.

Poznamo dve skupini usmerjevalnih protokolov, ki uporabljata paketno komutacijo.

Protokoli, ki temeljijo na vektorju razdalje.

Protokoli, ki temeljijo na stanju povezav.

1.2.1 Protokoli na osnovi vektorja razdalje

Takšen protokol uporablja Bellman-Fordov algoritem, Ford-Fulkersonov algoritem ali

DUAL FSM za izračun poti. Ta protokol za metriko uporablja število skokov v omrežju ne

glede na hitrost omrežnih povezav (slika 2). Protokol mora obvestiti svoje sosednje

usmerjevalnike, kar se dogaja periodično.

4

Slika 2: Delovanje protokola, ki temelji na vektorju razdalje.

Slika prikazuje dve poti A in B. Protokoli, ki temeljijo na vektorju razdalje, bodo izbrali pot

A, saj ima samo en skok do druge postaje, čeprav je ta omrežna povezava počasnejša

kot pot po poti B.

1.2.2 Protokoli, ki temeljijo na stanju povezav

Protokoli, ki temeljijo na stanju povezav, vključujejo OSPF (protokol na osnovi najkrajše

povezave), IS-IS (protokol vmesnih sistemov) ali BGP (protokol mejnih usmerjevalnikov).

Osnovni koncept je ta, da vsako vozlišče zgradi zemljevid povezljivosti z omrežjem v obliki

grafa, ki prikazuje ostala vozlišča. Vsa vozlišča neodvisno izračunavajo najboljšo pot do

drugega. Vsa ta končna zbirka najboljših poti se pretvori v usmerjevalno tabelo.

Osnovne lastnosti usmerjevalnih algoritmov, ki temeljijo na stanju povezav so:

1. oglaševanje stanja povezav s paketi LSA (ang. Link State Advertisments) − paketi

z informacijo o usmerjanju, ki se pošiljajo med usmerjevalniki;

2. topološka datoteka − zbirka informacij o omrežju, pridobljena iz LSA paketov

(seznam vseh poti v omrežju);

3. algoritem SPF − izračun omrežnih poti, zavedenih v topološki datoteki pri

oblikovanju drevesa usmerjanja za vsak usmerjevalnik ločeno; vsak

usmerjevalnik je na vrhu svojega drevesa SPF;

4. usmerjevalna tabela − seznam najboljših omrežnih povezav; izbor iz seznama

vseh poti po kriteriju izbranih parametrov za izračun metrike − pasovna širina,

zakasnitve, zanesljivost, stroški povezave ...[4].

5

Slika 3: Protokoli, ki temeljijo na stanju povezave.

Slika 3 prikazuje dve poti, A in B. Protokoli, ki temeljijo na stanju povezav, bodo izbrali

najboljšo pot glede na metriko. Izbrana bo pot B, saj ima boljšo omrežno povezavo,

čeprav bodo paketi potrebovali 3 skoke (aktivna vozlišča) do ciljne postaje.

6

2 PROTOKOL IEEE 802.1X

Protokol IEEE 802.1x je protokol druge plasti OSI referenčnega modela (povezovalna

plast). Omogoča nadzorovan dostop do omrežja, zasnovan na ravni vrat, ter filtriranje

MAC naslovov na stikalih oz. usmerjevalnikih. Sam protokol ne zagotavlja overitev

uporabnikov in naprav, zato se to izvaja s protokolom EAP. Protokol IEEE 802.1x poskrbi

za prenos EAP overitvenih sporočil med odjemalcem in overiteljem v omrežjih 7.

Slika 4 prikazuje primer uporabe protokola IEEE 802.1x. Opisi posameznih pojmov so

navedeni v nadaljevanju.

Dostopovna entiteta (PAE)

Dostopovna entiteta omogoča nadzor nad vrati na stikalih. Podpira funkcionalnosti

overitelja, prosilca ali oboje hkrati. Dovoljuje ali prepričuje vhodni in izhodni omrežni

promet iz izbranih nadzorovanih vratih.

Overitelj (Autheticator)

Overitelja predstavljajo LAN vrata, preko katerih le-ta vsiljuje predhodno overjanje

uporabnikom in napravam. V našem primeru bo to stikalo, ki bo uporabnikom oz.

napravam za dostop do omrežnih podatkov preko svojih vrat vsiljevalo predhodno

overjanje. Overitelj je lahko tudi v brezžičnem omrežju, in sicer kot dostopovna točka.

Prosilec (angl. Supplicant) je naprava, ki zahteva dostop do omrežnih storitev preko

overitelja (logična LAN vrata).

Overitveni strežnik je strežnik, ki overja poverilnice odjemalca, ki jih posreduje overitelj

(stikalo) in nato odgovori nazaj, ali ima prosilec pooblastilo za dostop ali ne. V našem

primeru je bila to ločena enota s protokolom RADIUS.

Nadzorovana ali nenadzorovana pot oz. vrata

Na vsakih nadzorovanih vratih omogoča overitelj prenos podatkov med odjemalcem in

LAN omrežjem le, če je prosilec pooblaščen za dostop v LAN omrežje. Overitelj je samo

7

posrednik v komunikaciji med odjemalcem in strežnikom RADIUS, saj protokol EAP

sporočila samo posreduje 1.

Slika 4: Primer uporabe protokola IEEE 802.1x v omrežju.

2.1 Prednosti in slabosti protokola IEEE 802.1x.

Prednosti protokola so zaščita omrežja pred zunanjimi napadi (fizično dodajanje

računalnikov), zaščita omrežja pred tujimi oz. nedovoljenimi uporabniki (hekerji), kontrola

na končnih stikalih (vrata stikala lahko uporablja samo tista naprava, ki je bila priključena

ob zagonu stikala) in da deluje na drugem omrežnem nivoju (podatkovni promet dovoljen

samo v primeru uspešnega overjanja).

Slabost oz. ranljivost protokola pa nastane ob vzpostavitvi povezave. Če ima napadalec

fizični dostop do omrežja, lahko izključi overitveni strežnik usmerjevalnika in priključi svoj

računalnik ter overitveni računalnik v zvezdišče (hub), ki ga potem priključi nazaj na

usmerjevalnik in si s tem omogoči napad.

Pojavile so se številne ranljivosti, ko je bil protokol prilagojen za brezžične povezave, saj

je bil prvotno namenjen za overitev naprav v ožičenem omrežju. Za varnost v ožičenem

omrežju smo poskrbeli tako, da smo usmerjevalnike in strežnike postavili in zaklenili v

podatkovni center ali v telekomunikacijske omare. V brezžičnem omrežju pa to ne pride v

8

poštev, ker dostopne točke pokrivajo celoten prostor in se lahko uporabnik poveže

kjerkoli. To pomeni, da imajo napadalci lažji dostop do omrežja.

Danes sta protokola IEEE 802.1x in EAP standard, ki omogoča varnejšo komunikacijo, saj

zahtevata napredno enkripcijo in indentifikacijo prosilca [1].

Dva pogosta primera napada sta naslednja.

1. Napad s prestrezanjem (MITM1)

Ta napad je znan tudi kot napad »zajemalne brigade« (angl. bucket brigade attack), to je

oblika aktivnega prisluškovanja, v katerem napadalec ustvari neodvisno povezavo z

žrtvijo. Ti napadi lahko uspejo le, če se napadalec izdaja oz. daje vtis vsake končne točke

v skladu z zahtevami drugih prosilcev. Večina kriptografskih protokolov vključuje obliko

preverjanja pristnosti končnih točk, s katerim preprečijo napad MITM.

2. Prestrezanje v brskalniku (MITB2)

MITB je oblika grožnje internetne povezave z MITM. To je posredovalni t. i. proxy trojanski

konj, ki okuži spletni brskalnik in te ranljivosti izkoristi (spremeni transakcijsko vsebino ali

vstavi dodatne transakcije, ki so prikrite za uporabnika). Trojanski konji se lahko odkrijejo

in odstranijo s pomočjo protivirusne programske opreme.

2.2 Pregled funkcionalnosti protokola

Ker temelji protokol IEEE 802.1x na vratih stikala, dovoljuje oz. onemogoča prosilcem

dostop do omrežja. Ta protokol zagotavlja omrežno overjanje, s katerim lahko zagotovimo

zelo dobro varnost pred vsiljivci.

Kot smo že v prejšnjem poglavju omenili, omogoča protokol IEEE 802.1x nadzor

uporabnikov in naprav. Na stikalih lahko onemogočimo vrata, če pride do kršitve (to

pomeni, da računalnik ni skladen z varnostno politiko ali če pride do fizične zamenjave

naprav). Pri uporabi strežnika Windows 2008r2 pa lahko omogočimo ali onemogočimo

vzpostavitev povezave z uporabniškim imenom in geslom. Tako zagotavljamo dobro

varnost pred vsiljivci.

1 angl. Man in the Middle Attack 2 angl. Man in the Browser

9

2.3 Vzpostavitev seje AAA

Seja AAA predstavlja kratico za overjanje (angl. Authentication), avtorizacijo (angl.

Authorization) in beleženje (angl. Accounting). To je pristop, s katerim se določa, kateri

uporabniki se lahko povežejo na katero storitev, hkrati pa se beleži njihove aktivnosti 1.

Slika 5 prikazuje potek vzpostavitev seje med računalnikom (prosilcem) in strežnikom

RADIUS. Najprej pošlje prosilec zahtevek za dostop, strežnik ga sprejme/zavrne ter

sporočilo o tem vrne nazaj prosilcu. S tem sta povezana in seznanjena drug z drugim ali

pa se povezava zavrne. Nato se pošlje zahteva za beleženje in potrditev le-tega. Po

končani seji se pošlje zahteva za ustavitev beleženja, s čimer se seja tudi konča.

Slika 5:Vzpostavitev seje AAA.

2.3.1 Overjanje

Overjanje se nanaša na postopek, kjer je osebna oz. identiteta prosilca potrjena s

posebno digitalno identiteto. Identifikatorji so imena in gesla ali ustrezne poverilnice

(gesla, digitalni certifikati, telefonske številke, biometrični žetoni itn. …). Overjanje je

sistem oz. storitev, ki preverja, ali digitalna identiteta obstaja oz. ali so poverilnice veljavne

5.

2.3.2 Dovoljenje

Dovoljenje določa, ali so prosilci pooblaščeni za izvajanje določene aktivnosti, ki jo

običajno podedujejo od preverjanja identitete ob prijavi v program ali storitev. Dovoljenje

10

se lahko določi na podlagi različnih omejitev (trajanje in termin dostopa, fizična lokacija,

dostop več prosilcev iz istega vhoda na stikalu itn. ... ) 5.

2.3.3 Beleženje

Beleženje zagotavlja zapis uporabe virov s strani prosilca. Beležijo se dogodki, kot so

preverjanje pristnosti, dovoljenja, neuspešni dostopi itn. 5.

2.4 Protokoli EAP, EAPoL, RADIUS, PEAP

V sklopu protokola IEEE 802.1x in EAP se morajo končne točke in uporabniki overiti s

strežnikom RADIUS z uporabo zaščitene in zanesljive metode EAP. Metoda EAP določa

tip poverilnice ter kako se ta poverilnica predloži in uporabi. Obstaja veliko vrst metod

EAP, kot so: EAP-TLS, PEAP-MSCHAPv2, PEAP-MD5, EAPoL …

2.4.1 Protokol EAP

EAP (angl. Extensible Authentication Protocol) je razširljiv overitveni protokol, opisan v

dokumentu RFC (angl. Request for comments) z oznako RFC 2284. Namenjen je bil

overjanju v protokolu PPP (angl. Point to Point Protocol – protokol med točkama). Zaradi

velike potrebe po overjanju naprav in uporabnikov je bil protokol EAP izbran za overitveni

mehanizem protokola IEEE 802.1x. Ta protokol ni omejen zgolj na metode overjanja,

ampak se lahko prilagodi drugim potrebam.

2.4.1.1 Struktura EAP

Overiteljevo sporočilo je sestavljeno iz naslednjih polj:

kode (zahteva, odgovor, izmenjava, odobritev, odpoved),

identifikatorja (namenjen razčlenjevanju odgovorov posameznih zahtev),

dolžine in

podatkov (formati podatkovnega polja).

0 8 16 32

Koda Identifikator Dolžina

Podatki

Tabela 1: format sporočila EAP

11

EAP je niz sestavnih delov, ki zagotavljajo arhitekturno podporo za katero koli vrsto EAP v

obliki vtičnikov (plug-in module). Za uspešno preverjanje pristnosti morata imeti prosilec in

overitelj preko oddaljenega dostopa nameščen isti EAP modul za overjanje. Windows

strežnik 2008r2 ponuja dva modula, EAP-MD5-Challenge in EAP-TLS. EAP z avtomatsko

overitvijo potrdi povezavo za oddaljeni dostop, prav tako se enaka shema za overitev

uporablja za oddaljen dostop odjemalca in overitelja. EAP omogoča mehanizem za

poljubno preverjanje pristnosti med odjemalcem z oddaljenim dostopom in overiteljem.

Pogovor je sestavljen iz overiteljevih zahtev za preverjanje informacij in odzivov s strani

odjemalca 1.

Windows strežnik 2008r2 vključuje strukturo dveh vrst EAP in možnost, da prenese

sporočila EAP do strežnika RADIUS. EAP-RADIUS se uporablja za preverjanje

overiteljevih storitev. Prednost uporabe protokola EAP-RADIUS je ta, da protokola EAP ni

potrebno namestiti na vsak strežnik, ampak le na strežnik RADIUS. Protokol EAP-

RADIUS posreduje samo sporočila EAP.

2.4.2 EAP-TLS

EAP-TLS je pristop, ki uporablja metodo overjanja z digitalnimi certifikati in je pri IETF

opredeljen kot standard RFC 5216. Protokol uporablja digitalne in uporabniške certifikate,

shranjene v registru računalnika. Če uporabljamo pametne kartice za overjanje

oddaljenega dostopa, moramo uporabiti EAP-TLS preverjanje pristnosti. EAP-TLS izvaja

izmenjavo sporočil in zagotavlja medsebojno preverjanje pristnosti, opravlja pogajanja za

metode šifriranja in šifrirne ključe za oddaljene dostope in overitelja. Zagotavlja boljšo

overjanje in določanje ključev v primerjavi z ostalimi metodami.

EAP-TLS je podprt le na strežnikih, ki izvajajo usmerjanje in oddaljene dostope z uporabo

protokola RADIUS ter so člani domene. Strežnik za oddaljeni dostop deluje kot

samostojen strežnik ali član delovne skupine, ki ne podpira EAP-TLS.

Prednosti :

overjanje naprav in uporabnikov poteka avtomatično,

izognemo se uporabi uporabniških gesel,

odpornost na napade aktivnega imenika (AD-ja), saj temelji na kriptografiji javnega

ključa.

12

Slika 6: EAP-TLS (vir: IEEE 802.1x Cisco Implementaiton Guide).

Ko se strežnik in prosilec poenotita za izvedbo overitve z EAP-TLS, pošlje strežnik

certifikat do prosilca. Nato prosilec preveri certifikat strežnika. Ko je identiteta strežnika

potrjena, prosilec predloži svoje potrdilo strežniku. Strežnik preveri prosilcev certifikat in

tako se konča postopek medsebojne overitve (slika 6) 1.

2.4.3 PEAP – MSCHAPv2

PEAP so razvila podjetja Cisco, Microsoft in RSA. PEAP je različica EAP, ki temelji na

pozivanju, tako da se vnaprej ustvari varnostni kanal, ki zagotavlja šifriranje in celovitost

podatkov med odjemalcem ter overitvenim strežnikom RADIUS. Ta kanal se vzpostavi na

predhodnem overjanju strežnika s strani odjemalca. V okviru tega varnostnega kanala se

izvedejo EAP pogajanja za overitev odjemalca.

Ker zahteva PEAP samo overjen certifikat strežnika, LAN odjemalci ne potrebujejo

svojega certifikata. Ta funkcija močno zmanjša breme z namestitvijo in vzdrževanjem

infrastrukture javnih ključev PKI (angl. Public Key Infrastructure).

MSCHAPv2 temelji na podlagi uporabniških imen in gesel, medsebojnih overitvah in

pozivih oz. odzivih. Čeprav zagotavlja boljšo zaščito, je še vedno dovzeten za neaktivne

napade z uporabo slovarja. S kombinacijo MSCHAPv2 in PEAP je izmenjava zaščitena z

13

varnostjo kanala TLS. PEAP- MSCHAPv2 se uporablja predvsem v okoljih Microsoft

Active Directory.

Slika 7: PEAP-MSCHAPv2.3

S poenotenjem strežnika ter prosilca za uporabo overitve PEAP-MSCHAPv2 strežnik

pošlje certifikat prosilcu. Prosilec nato preveri strežnikov certifikat. Ko je identiteta

strežnika potrjena, prosilec ustvari šifriran kanal TLS. Po tem kanalu prosilec pošlje

uporabniško ime in geslo z uporabo MSCHAPv2. Strežnik preveri še geslo, s čimer

zaključita medsebojno overjanje (slika 7) 1.

2.4.3.1 Šifrirni ključi

Poznamo ključe, ki so javni in zasebni. To so kriptografski mehanizmi, s katerimi šifriramo

in dešifriramo podatke. Vsak ključ ima en par podključev, ki so sestavljeni iz dveh

edinstvenih matematično povezanih šifrirnih ključev. Če so podatki šifrirani z javnim

ključem, se lahko dešifrirajo le s pripadajočim zasebnim ključem in obratno.

Javni ključi so narejeni za vse prosilce preko javno dostopnega registra ali imenika,

zasebni ključi pa morajo biti znani samo lastniku.

Primer

Če želi oseba A poslati občutljive podatke samo osebi B, bo oseba A zašifrirala podatke z

javnim ključem osebe B. Ker ima samo oseba B dostop do svojega ustreznega

3 (vir: IEEE 802.1x Cisco Implementaiton Guide)

14

zasebnega ključa, lahko zdaj samo oseba B dešifrira šifrirane podatke nazaj v prvotno

obliko [9].

2.4.3.2 Podpisovanje s ključi

Največjo varnost zagotavljajo pametne kartice, saj je zasebni ključ shranjen na kartici in

tako tudi šifriranje ter poteka digitalno podpisovanje na sami kartici. Varnost elektronskega

podpisovanja temelji na dolžini javnih in zasebnih ključev.

Z overjenim javnim ključem imetnik dokazuje lastništvo ključa. Overitelji oz. certifikatne

agencije (CA) so tiste, ki lastniku izdajo digitalno potrdilo.

Digitalni podpis

Je datoteka, šifrirana z zasebnim ključem. Dešifrira jo lahko vsak, ki pozna podpisnikov

javni ključ. Ta podpis je narejen z uporabo kriptografije. Digitalni podpis mora zagotavljati

avtentičnost ter onemogočati ponarejanje, kopiranje in spreminjanje.

Postopek podpisovanja

Postopek podpisovanja je prikazan na sliki 8. Najprej izbran dokument podpiše pošiljatelj,

ki uporabi svoj zasebni ključ, kateremu pripada tudi njegovo digitalno potrdilo. Nato se

dokument s podpisom pošlje prejemniku. Po prejemu dokumenta prejemnik loči podatke

od elektronskega podpisa. Na koncu se preveri, ali se ujemajo izvlečki in ali je elektronski

podpis veljaven. [11]

Slika 8: Postopek podpisovanja.

15

2.4.4 PEAP-MD5-Challenge

Protokol PEAP-MD5-Challenge (pozivanje z MD54) je opisan v dokumentu RFC 1321 in

omogoča strežniku RADIUS preverjanje pristnosti za omrežno povezavo, tako da preverja

MD5 gesla uporabnika. MD5 je algoritem oz. šifrirna funkcija s 128-bitnim izhodom.

PEAP-MD5 je torej metoda overjanja, ki temelji na geslih. Strežnik pošlje stranki naključne

vrednosti in stranka dokaže svojo identiteto z MD5 šifro. EAP-MD5-Challenge se pogosto

uporablja v zaupanja vrednih omrežjih, kjer je zelo majhna verjetnost aktivnih napadov.

Zaradi velike ranljivosti se običajno ne uporablja na javnih brezžičnih omrežjih, tam se

uporablja metoda overjanja PEAP–MSCHAPv2.

2.4.5 Protokol EAPoL

EAP preko lokalnega omrežja (EAPoL), ki je opredeljen v protokolu IEEE 802.1x, ponuja

učinkovit način za overitev in nadzor prometa uporabnikov v zaščitenem omrežju, kot tudi

dinamično spreminjanje šifrirnih ključev. Ta protokol je standard za prenos preko žičnega

ali brezžičnega omrežja LAN 1.

2.4.6 Protokol RADIUS

To je varnostni internetni protokol, ki omogoča AAA (poglavje 2.3) za upravljanje prosilcev

pri priključitvi v omrežje. Razvili so ga v podjetju Livingstone Enterprises leta 1991 kot

dostopovni strežnik za protokol overjanja in beleženja. Opisan je v RFC-ju z oznako 2865.

Zaradi široke podpore ga pogosto uporabljajo ponudniki internetnih storitev in podjetja,

tako za brezžična omrežja in integrirane e-poštne storitve kot za upravljanje dostopa do

omrežja. Ta omrežja lahko vključujejo modeme, xDSL (Digital Subscriber Line ),

dostopovne točke, VPN (Virtual Private Network), omrežna vrata, spletne strežnike itn.

RADIUS je protokol odjemalec/strežnik, ki teče v aplikacijskem sloju modela ISO (7. sloj)

in uporablja UDP. Strežnik RADIUS je proces v ozadju, ki teče na operacijskem sistemu

UNIX ali Microsoft Windows.

RADIUS podpira tri funkcije:

preverjanje pristnosti uporabnikov ali naprav (preden jim dodeli dostop do

omrežja),

odobritev uporabnika oz. naprave za uporabo določene omrežne storitve,

obračunavanje uporabe storitev.

4 angl. Message Digest 5

16

Protokol RADIUS omogoča overjanje, dodeljevanje dostopa in informacijo o konfiguraciji

med NAS (angl. Network Access Server) in overitvenim strežnikom RADIUS. Zahteve in

odzivi protokola RADIUS se imenujejo lastnosti 1.

2.4.6.1 Struktura paketa

Paket se pošilja po poljih, ki si sledijo (slika 9) od leve proti desni. Prvi ponudnik predstavi

kodo, nato sledi identifikator paketa, dolžina paketa, overitev in atribut polja.

Slika 9: Zgradba paketa RADIUS (vir: Wikipedia).

Oznaka polja pomaga pri usklajevanju zahtev in odgovorov, dolžina polja označuje

dolžino celotnega paketa RADIUS (vključno s kodo, identifikatorjem, dolžino, overjanjem

in atributom polja). Overjanje se uporablja za potrditev odgovora strežnika RADIUS in za

šifriranje gesel (njihova dolžina je 16 zlogov).

V strukturo paketa sodi tudi atribut polja (Slika 10), ki prenaša podatke v obe smeri. To so

zahteve in odgovori za overjanje, dovoljenje za overitev in obračunavanje transakcije.

Dolžina paketa se uporablja za določanje konca atributa polja. Atributi polj se uporabljajo

za overjanje. Sestavljeni so iz tipa, dolžine in vrednosti 8.

Slika 10: Format AV para (vir: Wikipedia).

Tabela 2 prikazuje najpogostejše RADIUS kode, tabela 3 pa najpogostejše tipe AV para

[10].

17

Koda Tip paketa Pošiljatelj

1 Zahteva za dostop (Access-Request) NAS

2 Potrjen dostop (Access-Accept) RADIUS

3 Zavrnitev dostopa (Access-Reject) RADIUS

4 Zahtevek za obračunavanje (Accounting-Request) NAS

5 Odgovor za obračunavanje (Accounting-Response) RADIUS

11 Poizkusi dostopiti (Access-Challenge) RADIUS

12 Status strežnika (Status-Server)

13 Status stranke (Status-Client)

255 Rezervirano

Tabela 2: Seznam pogostih RADIUS kod.

Tip AV Para Lastnosti

1 User Name (uporabniško ime)

2 User Password (geslo)

4 NAS IP Address (NAS naslov IP)

5 NAS Port (NAS vrata)

6 Service Type (tip storitve)

7 Framed Protocol (okvirjen protokol)

9 Framed IP Netmask (okvirjena IP omrežna maska)

10 Framed ID (okvirjena identifikacija)

12 Framed MTU (okvirjena največja enota za prenos)

18 Reply Message (odgovor na sporočilo)

24 State (stanje)

25 Class (razred)

26 Vendor Specific (specifikacija proizvajalca)

27 Session Timeout (časovna omejitev)

30 Called Station ID (Identiteta klicane postaje)

31 Calling Station ID (Identiteta klicoče postaje)

61 NAS Port Type (NAS tip vrat )

64 Tunnel Type (tip tunela)

65 Tunnel Medium Type (tip tunela medija)

79 EAP Message (EAP sporočilo)

80 Message Authenticator (sporočilo prosilca)

81 Tunnel Private Group (tunel za zasebne skupine)

87 NAS Port ID (identiteta vrat NAS)

102 EAP Key Name (ime ključa EAP)

Tabela 3: AV pari.

18

2.5 Dovolitvene opcije protokola IEEE 802.1x

EAP je okvir za preverjanje pristnosti, s katerim določamo tip overjanja.

Poznamo več vrst overjanj, in sicer EAP-MD5, LEAP, EAP-TLS, EAP-MSCHAPv2 ter

PEAP. Razlikujejo se po overjanju strežnika, ključih in varnosti. Overjanje EAP-MD5 je

brez overitvenega strežnika in zato svoje poverilnice šifrira. LEAP overjanje uporablja

uporabniško ime in geslo, ostalo overjanje pa uporablja javni ključ ali poverilnice.

19

3 DOBRA PRAKSA NAČRTOVANJA

3.1 Scenarij implementacije

Z uvedbo protokola IEEE 802.1x se lahko izberejo trije scenariji za postopno ureditev

protokola. Ti načini so: način spremljanja (angl. monitor mode), način nizkega vpliva (angl.

low-impact mode) in način visoke varnosti (angl. high-security mode). Vsak scenarij

opredeljuje kombinacije tehnik overitev in dovolilnic.

3.2 Overjanje uporabnikov in naprav

Protokol lahko overja končne točke, ki temeljijo na uporabi poverilnic uporabnika, naprave

ali obojega. Za končne točke, ki ne podpirajo nobene oblike uporabniške prijave

(tiskalniki), se mora poverilnica naprave (tiskalnika) overiti drugače. Te naprave overimo

tako, da jih lastnoročno dodamo v ustrezno skupino na strežniku. Izbira končnih točk, ki

podpirajo prijavo uporabnikov (PC), je lahko otežena, ker je verjetnost, da le-te

potrebujejo dostop do omrežja še preden se uporabnik prijavi. Če nimamo dostopa do

omrežja, kritične funkcije (DHCP, NFS in AD) ne bodo delovale pravilno. Z uporabo

strojnih poverilnic lahko omogočimo končnim točkam dostop do omrežja brez uporabniške

prijave 1.

3.3 Izbira prosilcev

Pri izbiri prosilcev je naš cilj, da se izberejo tisti prosilci, ki zagotavljajo potrebe po

zmogljivosti, zmanjšujejo obremenitve administratorskega dela. Prosilci, ki temeljijo na

strojni opremi, so pri ožičeni topologiji relativno novi. Ti prosilci lahko izvajajo protokol

IEEE 802.1x tudi, če operacijski sistem ni sposoben opraviti overjanja. To bi bilo koristno

za končne točke v stanju mirovanja ali v pripravljenosti, ko je potrebna povezava v

omrežje (wake-on-LAN) in za končne točke, ki uporabljajo metodo PXE (angl. Preboot

eXecution Environment) 1.

3.4 Izbira overitvenega strežnika

Veliko strežnikov RADIUS lahko deluje kot overitveni strežniki protokola IEEE 802.1x.

Najprej moramo izbrati strežnik, ki bo lahko potrdil vse končne točke. Nato se moramo

20

prepričati, ali strežnik RADIUS podpira politiko za omrežni dostop, ki ga želimo uporabiti,

ter ali je strežnik sposoben spremljati in poročati o napakah.

Naslednja generacija platforme, ki podpira vso navedeno varnostno politiko, je Cisco

Secure ACS 5 [1]. Pri Microsoftu je zmogljivost omejena in omogoča samo overjanje na

končnih točkah ter pri uporabnikih, ki so v domeni. Obstaja tudi nekaj odprtokodnih

strežnikov RADIUS za uporabo protokola IEEE 802.1x (FreeRADIUS in OpenRADIUS)

1.

3.5 Ponovna overitev

Če so končne točke še vedno priključene na omrežje, je velika verjetnost, da se ponovna

overitev ne potrebuje. Po uspešni overitvi vrata ostanejo odprta, dokler se zveza ne

prekine. V nekaterih situacijah se ponovna overitev lahko uporabi kot ohranjevalni

mehanizem 1.

3.6 Odprti dostop

Odprti dostop pomeni, da se lahko uporabnik brez preverjanja in nastavitev vključi v

omrežje. To je lahko zelo nevarno, saj lahko povzroči veliko škodo podjetjem z okuženim

računalnikom, saj lahko ogrozi vse pomembne podatke. Po privzetih nastavitvah je

protokol IEEE 802.1x nastavljen tako, da zavrže ves promet pred uspešno avtorizacijo. To

se označuje kot zaprt način. Nekatera stikala so lahko nastavljena tudi na odprti dostop,

kar omogoča ves pretok prometa in hkrati delovanje protokola 802.1x 1.

3.7 WoL in protokol IEEE 802.1X

WoL (Wake on LAN) je industrijski standard, s katerim lahko vključimo in izključimo

naprave preko omrežja. Večina končnih naprav s tehnologijo WoL v času stanja

pripravljenosti očisti vse obstoječe seje. Pri privzetih nastavitvah je promet blokiran skozi

neodobrena vrata v obeh smereh in tako paket za bujenje naprave ne pride do končne

točke 1.

Za uporabo te tehnologije potrebujemo WoL omrežni vmesnik, vključeno funkcijo WoL na

matični plošči in programsko opremo.

21

3.8 Končni prosilci z nepodprtim standardnim protokolom IEEE 802.1x

Če imamo prosilca, ki bi rad dostopal do omrežja in je priključen na končno točko z

nepodprtim standardnim protokolom IEEE 802.1x, se mora le-ta povezati na tista vrata,

kjer je omogočen protokol IEEE 802.1x, in po uspešni varnostni politiki lahko dostopa do

omrežja. Podjetja ponujajo funkcije za namestitev protokola na končne točke (MAB,

spletno overjanje in gostujoč VLAN). Ta lastnost zagotavlja pomožni mehanizem takrat,

ko ni odjemalca tega protokola. Ko je protokol na vratih, lahko vrata dobijo pooblaščeno

stanje, če MAB ali spletna overitev uspe ali če je gostujoči VLAN nastavljen. MAB, spletna

overitev in gostujoč VLAN so nadomestni mehanizmi. Uporabljeni so samo takrat, ko

poteče čas preverjanja overitve 1.

3.9 Končne točke z neustreznimi poverilnicami

Brez veljavnih poverilnic protokol ščiti omrežje tako, da onemogoči točke dostopa.

Obstajajo tudi okoliščine, v katerih zakoniti uporabniki nimajo veljavnih poverilnic in zato

tudi nimajo dostopa.

Na primer, nekdo se želi povezati v omrežje. Njegov računalnik je nastavljen na protokol

IEEE 802.1x, vendar poverilnice veljajo samo v njegovem domačem omrežju. Zato

avtorizacija ne uspe. Uporabniku se omogoči dostop samo kot gost. Zaradi tega obstajajo

alternativne rešitve, in sicer VLAN Auth-Fail ter uporaba načina preklopa v sekundarno

overjanje.

Funkcija Auth-Fail VLAN se uporabi takrat, ko overjanje ne uspe. Vrata se spremenijo v

nastavljiva VLAN vrata, kjer se lahko izvrši omejen dostop. Z uporabo tega lahko po meri

dostopamo do omrežja brez veljavnih poverilnic. To je možno nastaviti tako, da se

dovoljuje dostop le do interneta ali do CA za podaljšanje certifikata.

Druga možnost je uporaba preklopa v sekundarno overjanje. Stikala se lahko nastavijo na

poizkušanje MAB ali spretno overjanje, če protokol IEEE 802.1x ne uspe. Dostop do

omrežja se odobri na podlagi uspešnosti ali neuspešnosti sekundarne overitve 1.

3.10 Nedosegljiv overitveni strežnik

Ko je overitveni strežnik nedosegljiv, protokol IEEE 802.1x ni na voljo in zato končne

točke nimajo dostopa do omrežja, saj strežnik ne more preveriti njihovih poverilnic.

Obstajajo primeri, v katerih stikala ne morejo doseči strežnika in je prosilcem vseeno

potrebno omogočiti dostop do omrežja. Če stikalo ve, da je strežnik nedosegljiv, lahko

22

nastavi vrata kot nastavljiva VLAN vrata (takoj ko bo zveza vzpostavljena). Če stikalo

ugotovi, da overitveni strežnik ni bil uspešen s protokolom IEEE 802.1x, potem se vrata

premaknejo v kritični VLAN po določenem času izvajanja. Če se izteče čas ponovne

overitve, se s celim procesom počaka, dokler stikalo ne ugotovi, da je strežnik dosegljiv.

Kritični VLAN je katerikoli VLAN, razen govorni VLAN. Če VLAN ni naveden, se vrata ne

bodo odprla za podatkovni VLAN 1.

3.11 Časovniki in spremenljivke

Protokol IEEE 802.1x temelji na več časovnikih in spremenljivkah, ki nadzorujejo časovne

funkcije na stikalu za overjanje. Za ta protokol je priporočljivo, da se pustijo privzete

vrednosti. Poznamo :

dot1x timeout tx-period in dot1x max-teauth-req (spremeljivki) − nadzirata

obnašanje zakasnitev in ponovni poizkus dostopa do vrat v odsotnosti prosilca;

authentication timer restart (časovniki) − nadzirajo primer, ko pride do

ponovnega zagona protokola IEEE 802.1x;

dot1x timeout quiet-period (spremenljivka) − nadzira in ponovno zažene protokol

IEEE 802.1x po neuspelem overitvenem poizkusu;

dot1x timeout supp-timeout in dot1x max-req (spremenljivka) − nadzira

zakasnitev, ko se prosilec na sredini overitve preneha odzivati;

dot1x timeout server-timeout (spremenljivka) − vpliva na ponovno oddajanje

takrat, ko strežnik ni dosegljiv 1.

3.12 IP telefonija in protokol IEEE 802.1x

Cisco IP telefoni imajo vgrajen protokol IEEE 802.1x, vendar je ta onemogočen.

Nastavitve telefona se lahko uredijo ročno v ukazni vrstici (CLI). Standard protokola IEEE

802.1x ni bil načrtovan za zahteve IP telefonije, zato lahko nastopijo naslednje težave.

Predpostavljen omrežni dostop (angl. Assumption of Network Access)

Privzeti protokol IEEE 802.1x vsem omogočenim vratom zavrne dostop, dokler ni

uspešne overitve. IP telefoni pa pogojujejo takojšni dostop do omrežja.

Podpora dveh naprav na posamezna vrata (angl. Support for Two Devices Per

Port)

Programska oprema omogoča hkratni dostop naprave za IP telefonijo in

podatkovnega odjemalca (ki sta zvezana preko integriranega stikala v IP telefonu). Z

omogočanjem istih vrat dostopovnega stikala se omogoči povezljivost IP telefonu in

23

podatkovni napravi. Govorni promet IP telefona se na takih vratih označi z ustrezno

VLAN značko (angl. tag), promet podatkovnega odjemalca (PC) pa se ne označuje. S

tem zmanjšamo število priključnih kablov, opreme in stroške.

Nezmožnost zaznavanja statusa povezave (angl. Lack of Link State Awareness)

Ko je IP telefon priključen, stikalo nima informacije o stanju na vratih telefona. Protokol

omogoči vrata, ampak je odvisen od stanja povezave in začetka ter konca

overitvenega stanja naprave. Ta funkcionalnost je bistvenega pomena za

zagotavljanje veljavnosti overitvenih sej, saj s tem preprečujemo varnostne luknje in

kršitve.

Delovanje IP telefonov v protokolu IEEE 802.1x omrežju se lahko doseže tako da:

morajo biti telefoni nastavljivi in sposobni izvesti protokol IEEE 802.1x;

telefonom, ki nimajo omogočenega protokola IEEE 802.1x, je treba zagotoviti

drugačen dostop do govornega omrežja;

če pride do težav s povezljivostjo, mora biti IP telefon naslovljen, kam se sklicuje dalje;

mora protokol IEEE 802.1x nasloviti IP telefone s podatkovno napravo na istih vratih

2.

3.13 Varnostne funkcije na stikalih

Zaščita vrat (Port Security)

V splošnem se zaščita vrat, če že imamo omogočen protokol IEEE 802.1x, ne priporoča.

Ker podpira protokol en MAC naslov na vrata, je zaščita vrat predvsem odveč in lahko v

nekaterih primerih slabo vpliva na delovanje protokola.

DHCP prestrezanje (angl. DHCP snooping)

DHCP snooping je vrsta tehnike, ki se uporablja za zagotavljanje boljše varnosti v

obstoječi DHCP infrastrukturi in je popolnoma združljiva s protokolom IEEE 802.1x. To je

druga plast varnosti, saj boljšo varnost dosežemo tako, da imajo samo prosilci s

specifičnim IP oz. MAC naslovom dostop do omrežja.

Dinamično preverjanje ARP (Dynamic ARP Inspection)

Je vrsta varnostne funkcije, ki zavrača neveljavne in zlonamerne pakete ARP ter je

popolnoma združljiva s protokolom IEEE 802.1x.

24

Varovanje vira IP (IP Source Guard)

Je varnostna funkcija, ki omejuje promet IP v nevarovani OSI plasti 2 s filtriranjem

prometa, ki temelji na DHCP prestrezanju ali ročno nastavljivih izvornih IP in je popolnoma

združljiva s protokolom IEEE 802.1x 1.

3.14 Microsoft NAP

Microsoft NAP je vgrajena vloga v strežniku Windows 2008r2, ki omogoča nadzor dostopa

do prosilcev v omrežjih. Skrbniki omrežja lahko določijo varnostno politiko za vse prosilce.

S tem si zagotovimo varnost na omrežjih, da ne pride do kraje podatkov ali okužbe

omrežja.

Metode vsiljevanja NAP se nahajajo na strežnikih pod vlogo mrežna politika in

dostopovne storitve (Network Policy and Access Services).

Metode vsiljevanja NAP:

DHCP − prosilci dobijo ustrezen naslov IP, ki jim ga dodeli DHCP strežnik, glede

na varnostno politiko,

IPsec − prosilci morajo biti skladni z varnostno politiko, da dobijo poverilnice za

komunikacijo med napravami,

protokol IEEE 802.1x ožičeno ali brezžično − prosilci, ki dostopajo do omrežja,

preko protokola IEEE 802.1x overitve na stikalih, dobijo dostop do omrežja,

VPN − prosilci morajo biti skladni z varnostno politiko, da lahko dostopajo do

omrežja in

oddaljen dostop − prosilci morajo biti skladni z varnostno politiko, za dostop do

naprav.

Slika 11: NAP metode.

25

4 PRAKTIČNA IMPLEMENTACIJA

Praktično implementacijo diplomskega dela je omogočilo podjetje Stebri d.o.o. iz Slovenj

Gradca. Uporabljali smo strežnik Windows 2008r2, stikalo Cisco Catalys 2950, na

katerega lahko priključimo do 24 odjemalcev, usmerjevalnik Astaro Security Gateway 220

in kot prosilec prenosni računalnik HP, s katerim smo hkrati spremljali promet s

programsko opremo Wireshark (slika 12). Opremo smo dobili brez prednaložene

programske opreme in nastavitev, zato smo morali najprej namestiti ustrezne operacijske

sisteme ter nastaviti ustrezne parametre na stikalu ter usmerjevalniku. Na usmerjevalniku

smo morali nastaviti IP-naslov ter dostop do zunanjega omrežja, na stikalu pa naslov IP

ter oddaljen dostop. Na računalniku in strežniku smo nastavili osnovne nastavitve (IP-

naslov, namestili osnovne programe, preverili posodobitve). Nato smo začeli s

konfiguracijo strežnika Windows 2008r2 ter aktivacijo njegovih osnovnih funkcij (nastavili

DHCP, DNS, AD in NAP). Cilj tega dela je bilo spoznati se s strežnikom, nastavitvami

omrežja in postopkom, kako zagotoviti varnost omrežja za mala in velika podjetja.

Slika 12: Zasnova omrežja, uporabljenega pri praktični implementaciji.

Delovanje

a) Prosilec, ki bi se rad povezal v omrežje, posreduje informacijo do stikala, kjer se

izvede 802.1x overjanje.

b) Prosilec pošlje uporabniško ime ter geslo do strežnika.

c) Pri pravilnih podatkih se povezava vzpostavi, drugače se povezava prekine.

d) Strežnik zahteva varnostno politiko, ki mu jo pošlje računalnik. Rezultat preverjanja

pošlje stikalu in če je varnostna politika skladna, mu odobri dostop, sicer mu dodeli

omejen dostop.

Najprej smo izvedli NAP DHCP vsiljevanje, nato nadgradili sistem NAP 802.1x in končali s

sistemom 802.1x.

26

Izvedba strežnika z vsiljevanjem NAP DHCP

Potek

Strežnik najprej preveri, ali so računalniki, ki so prijavljeni v domeno, skladni z varnostno

politiko. S tem računalnik dobi od strežnika veljaven naslov IP, torej neomejen dostop do

omrežja. Neskladnim računalnikom strežnik dodeli omejen dostop. Lahko nastavimo tudi

avtomatsko posodobitev računalnikov.

Nastavitve strežnika

Najprej smo nastavili ime strežnika, ki se nahaja na začetnem zaslonu, nato naslov IP

strežnika ter vloge strežnika (slika 13), na primer aktivni imenik in domenski krmilnik (AD

DC), DNS, DHCP in NPS.

Slika 13: Nastavitev imena, vlog in naslova IP-strežnika.

Dodajanje uporabnika

V aktivnem imeniku se postavimo na podmapo Uporabniki (Users) in nato z desno tipko

miške kliknemo in izberemo Nov uporabnik (New user). Pojavi se okno za uporabnika, v

27

katerega vnesemo ime, priimek, polno ime ter uporabniško ime. V nadaljevanju dodamo

še geslo in skupine h katerim pripada (slika 14).

Slika 14: Dodajanje uporabnika.

Ustvarjanje nove skupine za računalnike

V ukazni pozivnik (Run), ki se nahaja v Start meniju, smo vnesli ukaz gpme.msc in ga

potrdili s tipko OK. Nato se je pojavilo novo okno Upravljalec Skupinske Politike (Group

Policy Management). Z desno tipko smo kliknili na dipl.com in izbrali novi objekt (New

Object). Pojavilo se je novo okno (Slika 15), v katerem smo izbrali drugo možnost, s

28

katero smo kreirali novi skupinski objekt. Izbrali smo NAP Client Computers. Vse kar se

bo urejevalo v tej politiki, se bo potem tudi na vseh računalnikih v domeni.

Slika 15: Konfiguracija skupinske politike.

Namestili smo NAP-vlogo in s pomočjo čarovnika za lažjo namestitev izbrali NAP

vsiljevanje z DHCP-jem (Slika 16).

29

Slika 16: Namestitev NAP DHCP-ja.

Posebnosti nastavitve

Kot Radius odjemalca (Client) smo nastavili Cisco stikalo (192.168.10.5) in dodelili skrito

geslo (secret).

Z vsiljevanjem skupinske politike smo morali omogočiti proces omrežnega agenta

(Network Access Agent) in proces nastavitev (Wired Config) ožičenega omrežja, kot

prikazuje slika 19.

Nastavitev NAP DHCP-ja je dodeljevanje naslovov IP, imena poddomen, prevzetega

prehoda (192.168.10.23) in dodelitev izbrane varnostne politik.

Slika 17 prikazuje naslednji korak v čarovniku, kateri je nastavitev stikala, s katerim

strežnik Windows 2008r2 komunicira. Nastavi se ime stikala, naslov IP in geslo.

Na sliki 18 je prikaz dodatne nastavitve na strežniku Windows 2008r2. In sicer lahko

nastavimo razpon naslovov IP in imena domen.

30

Slika 17: Nastavitev stikala kot Radius odjemalca na strežniku.

Slika 18: Nastavitev dodeljevanja naslovov IP in domen.

31

Slika 19: Upravljanje s politiko (v tem primeru aktiviranje agenta NAP).

Nastavitve računalnika

Najprej smo postavili računalnik v domeno (dipl.com) (slika 20) in omrežno kartico Internet

Protocol Version 4 (TCP/IPv4) nastavili na samodejno pridobitev naslovov IP in

samodejno pridobitev naslovov strežnika DNS (slika 21). V ukaznem pozivu smo preverili,

ali se skupinska politika uporablja, ali je NAP DHCP omogočen in ali smo dobili naslov IP

(slika 22). Ko je računalnik v domeni, lahko preko strežnika upravljamo z njim, saj lahko s

pomočjo skupinske politike na strežniku Windows 2008r2 omejujemo naprave in

uporabnike. Sledila je nastavitev in preizkus požarnega zidu z njegovo

aktivacijo/deaktivacijo. Storitve smo sicer omogočili (Network Access Agent in Wired

Config), vendar se le-te dajo nastaviti tudi v strežniku.

32

Slika 20: Postavitev računalnika v domeno.

Slika 21: Nastavitev samodejne pridobitve naslovov IP in DNS-ja.

Ko je računalnik član domene, lahko v ukaznem pozivu preverimo trenutno stanje

skupinske politike s ukazom gpresult, posodobimo skupinsko politiko z ukazom

gpupdate in preverimo, ali se je skupinska politika pravilno izvedla s ukazom netsh nap

client show state (slika 22).

33

Slika 22: Prikaz v ukaznem pozivu, da sta NAP DHCP vsiljevanje in GP aktivna.

Slika 23 prikazuje obvestilo na računalniku. Pojavi se okno, v kateri lahko vidimo status

NAP-a.

Slika 23: Delovanje NAP-a na računalniku.

Ko je prosilec skladen z varnostno politiko, se mu dodeli domena ime dipl.com in privzeti

prehod, v nasprotnem primeru se mu privzeti prehod odvzame. Dodeli se mu omejena

domena restricted.dipl.com (slika 24).

34

Slika 24: Prikaz delovanja domene.

Slika 25 prikazuje uspešno pogajanje med strežnikom RADIUS (192.168.10.11) in

prosilcem (192.168.10.5). Najprej se izvede protokol ARP (Address Resolution Protocol).

Protokol ARP vpraša vse naprave v omrežju, kdo je imetnik določenega naslova

(192.168.10.5) in kateri napravi se to sporoča (192.168.10.11). Ko strežnik pridobi

informacijo o prosilcu, aktivira RADIUS.

Programska oprema Wireshark

S programsko opremo Wireshark lahko zajamemo in analiziramo omrežni promet med

napravami. Z njim smo preverili delovanje protokola. Programsko opremo smo namestili

na drug računalnik, s čimer smo zajeli promet, prav tako smo morali ena vrata na stikalu

nastaviti kot zrcalna vrata. V poglavju 2.4.6.1. sta tabeli (2 in 3), ki opisujeta lastnosti

Radius kode in AV parov (slika 26).

Overitveni proces

35

Slika 25: Wireshark − Prikaz delovanja protokola RADIUS.

Podskupina protokola RADIUS so atributi polja. S tega primera lahko vidimo, katere tipe

uporabljajo (Slika 24 in 25). Zahteva za dostop (Access Request) ima AV-pare: 1, 6, 12,

30, 31, 79, 80, 102, 61, 5, 87, 4 in 24. 24 AV-par se pojavlja od druge do desete zahteve

za dostop, saj to pregleduje stanje komunikacije.

Dostopni izziv (Acces Challenge) ima AV-pare: 27, 79, 24 in 80. Dovoljen dostop (Access

Accept) ima AV-pare: 7, 6 ,65, 81, 64, 79, 25, 26 in 80.

36

Slika 26: Pregled AV-parov v programski opremi Wireshark.

Izvedba strežnika NAP s protokolom IEEE 802.1x

To je nadgradnja NAP protokola DHCP. Opisali bomo samo dodatne nastavitve, ki so ob

tem potrebne. Vsak računalnik, ki se priključi na stikalo, čaka overitev, ki se izvaja na

stikalu. Če je računalnik skladen s pravili, se mu dodeli dostop.

37

Nastavitev strežnika

Na strani strežnika smo pod vlogo NAP izbrali NAP IEEE 802.1x in sledili čarovniku (slika

27). Najprej smo morali izbrati ustrezno ime, nato obseg dodeljevanja naslovov IP, imena

poddomen (v katero poddomeno se odjemalec postavi, če je neskladen oz. skladen z

varnostno politiko) in prevzeti prehod (192.168.10.23). Sledila je namestitev nadzora

prometa za neomejene in omejen dostop.

Slika 27: Nastavitev vsiljevanja NAP IEEE 802.1x.

Slika 28 prikazuje, katere atribute RADIUS smo nastavili za pravilno delovanje protokola.

Zeleni okvir prikazuje nastavitve za neomejen dostop, rdeči pa za omejen dostop.

Slika 28: Nastavitev prometa za neomejen/omejen dostop.

Posebnosti nastavitve

Kot odjemalca Radius smo nastavili Cisco stikalo (192.168.10.5) in dodelili skrito geslo

(secret).

38

Nastavitve računalnika

Najprej smo postavili računalnik v domeno (dipl.com) in nastavili naslov IP na

192.168.10.22 /24 DG: 192.168.10.23. Sledila je verifikacija v ukaznem pozivu, in sicer ali

se skupinska politika uporablja in ali je NAP IEEE 802.1x omogočen. Računalnik smo

postavili v domeno (dipl.com), preko katere lahko upravljamo uporabnika ali uporabniški

računalnik s strani strežnika. Nato smo s pomočjo požarnega zidu preverili delovanje

skupinske politike. Ob izklopu požarnega zidu se je le-ta v nekaj sekundah povezal nazaj

(Slika 29). Omogočili smo storitve (Network Access Agent in Wired Config), vendar se to

lahko uredi tudi na strežniku.

Slika 29: Nastavitve požarnega zidu.

Nastavitve na stikalu

Na stikalo sem se povezal s konzolnim kablom, ki ima na strani stikala RJ45 priključek, na

strani računalnika pa RS232 priključek. S pomočjo programske opreme PuTTY smo lahko

dostopali do stikala. Najprej smo morali vnesti tovarniški naslov IP naprave (192.168.0.1),

da smo lahko dostopali do uporabniškega vmesnika, nato je sledila nastavitev novega

naslova, gesla in 802.1x overjanja, ki je opisano v nadaljevanju.

39

Slika 30: Programska oprema PuTTY.

Nastavitve na stikalu si sledijo po tem vrstnem redu:

- preklop iz lokalnega načina v globalni način

Switch>enable

- nastavitev terminala

Switch#configure terminal

- nastavitev Vlan 1

Switch(config)#interface Vlan 1

- dodelitev naslova ipVlanu 1

Switch(config-if)#ipaddress 192.168.10.5 255.255.255.0

- izhod iz lokalnega načina

Switch(config-if)#exit

- omogočanje nadgrajenega aaa modela

Switch(config)#aaa new-model

– ustvarjanje uporabnika

Switch(config)#username xxxx secret xxxx

– potrditev gesla

Switch(config)#enable secret xxxx

- ustvarjanje 802.1x liste

Switch(config)#aaa authentication dot1x defaul group radius

– določitev vrat (porta)

Switch(config)#interface fa0/24

40

– določitev načina delovanja vrat

Switch(config-if)#switchport mode access



- omogočanje 802.1x globalno na stikalu

Switch(config)#dot1x system-auth-control

– določitev gostitelja strežnika, overjanje vrat in ključ

Switch(config)#radius-server host 192.168.10.11 auth-port 1812 key secret

– določitev vrat

Switch(config)#interface fa0/24

- omogočanje 802.1x overjanja na vratih

Switch(config-if)#dot1x port-control auto

– izhod iz globalnega načina

Switch(config-if)#end


Switch>enable

– shranimo vse ukaze v RAM pomnilnik stikala

Switch(config)#copy-running config startup-config Destination filename [startup-

config]?

Building configuration ...

[OK]

S tipko enter potrdimo ukaze.

41

Slika 31: Stikalo v vlogi overitelja.

Slika 31 prikazuje, kako stikalo loči nevarne računalnike od varnih. Če varnostna politika

ne ustreza zahtevani, ga prestavi v VLAN 2 oz. NEZDRAVI gost, če ustreza, pa ga

prestavi v VLAN 1 oz. privzeto (default). S tem smo pokazali delovanje vrat na stikalih,

kako dovoljuje oz. onemogoča prosilcem dostop do omrežja.

Vse se nastavlja na stikalu, razen NAP-a in uporabniškega imena ter gesla. Da vse to

deluje, moramo vnesti uporabniško ime in geslo (slika 32), s katerim nas stikalo

identificira, potem strežnik preveri varnost računalnika in dodeli VLAN.

42

Slika 32: Prikaz, kako omogočiti zahtevek za overitev.

Slika 33 Prikazuje komunikacijo pri NAP IEEE 802.1x, ki poteka enako kot v prejšnjem

primeru.

43

Slika 33: Wireshark − Prikaz delovanja protokola RADIUS.

44

5 CISCO PACKET TRACER

To je programska oprema za simulacijo omrežja z napravami proizvajalca Cisco. Program

vsebuje simulacijo dejanskega omrežja, vizualizacijo, nastavitve želenih naprav, pregled

prometa in oceno želenega scenarija. V nadaljevanju smo ustvarili scenarij, ki je prikazan

na sliki 34. S tem smo prikazali dodatne možnosti overjanja naprav brezžično ali z

mobilnim aparatom ter potek nastavitev v navideznem omrežju, ki se lahko uporabijo v

realnem omrežju.

Slika 34: Prikaz scenarija.

Slika 34 prikazuje DHCP strežnik s sejo AAA, stikalo za priključitev naprav in brezžični

usmerjevalnik Linksys z protokolom RADIUS. Overitev je uspešna s pravim uporabniškim

imenom ter geslom. Naprava se lahko poveže.

45

5.1 Nastavitve strežnika

Najprej smo nastavili statični naslov IP (slika 35), samodejno dodeljevanje naslovov IP oz.

DHCP storitev (slika 36) in AAA storitev (slika 37). V AAA storitev smo morali vnesti

usmerjevalnik in uporabnike. Slika 35 prikazuje statični naslov IP-strežnika, ki smo ga

ročno vnesli. Najprej naslov IP, masko omrežja in privzeti prehod.

Slika 35: Omrežne nastavitve strežnika.

Za delovanje DHCP-ja smo morali omogočiti storitev z izbiro On (slika 36), določili ime

(serverPool), privzeti prehod (192.168.0.1), DNS (8.8.8.8), začetni naslov IP

(192.168.0.50), masko omrežja (255.255.255.0) in največje število uporabnikov. S

pritiskom na gumb Dodaj (Add) in nato Shrani (Save) smo dodali AAA model in ga

shranili.

46

Slika 36: Konfiguriranje DHCP.

Slika 37 predstavlja nastavitev AAA storitve. Tudi to storitev smo morali naprej omogočiti z

izbiro Vklop (On). Za Radius vrata smo izbrali 1645 (z njimi bo potekala komunikacija z

usmerjevalnikom), pod omrežne nastavitve smo dodali ime usmerjevalnika (Diploma),

naslov IP (192.168.0.52), geslo (C0k4n) ter izbrali tip strežnika (Radius). S klikom na

gumb + smo dodali še usmerjevalnik.

47

Sledile so nastavitve uporabnika, v našem primeru računalniki in telefonski aparat. Vstaviti

smo morali samo uporabniško ime ter geslo. S klikom na gumb + smo dodali uporabnike.

Slika 37: AAA storitev.

5.2 Nastavitve usmerjevalnika

Na usmerjevalniku smo nastavili samodejno dodeljevanje naslovov IP (DHCP), ki se

dodeli napravi v primeru, ko je skladna z varnostno politiko. Za to poskrbi seja AAA na

strežniku. To pomeni, da med strežnikom in usmerjevalnikom poteka protokol RADIUS.

Če je uporabnik vnesel pravo uporabniško ime in geslo, se dostop omogoči. Slika 38

prikazuje osnovne nastavitve usmerjevalnika: usmerjevalnikov naslov IP, masko omrežja,

omogočen strežnik DHCP za dodeljevanje naslovov IP, začetek številčenja naslovov IP in

maksimalno število uporabnikov.

Slika 39 pa prikazuje nastavitev brezžičnega omrežja Diploma.

48

Slika 38: Osnovna nastavitev usmerjevalnika.

49

Slika 39: Konfiguracija brezžičnega omrežja.

50

Slika 40: Ustvarjanje komunikacije med strežnikom in usmerjevalnikom.

Slika 40 prikazuje nastavitev komunikacije med usmerjevalnikom in strežnikom. Najprej

smo morali izbrati tip overjanja (samo WPA Enterprise in WPA2 Enterprise omogočata

nastavitev protokola Radius), šifriranje (lahko izbiramo med AES in TKIP), naslov IP-

strežnika, Radius vrata in geslo.

5.3 Nastavitve stikala

S klikom na stikalo preidemo v fizični prikaz, kjer lahko dodajamo in spreminjamo module.

Postavimo se v zavihek CLI, v katerega smo vnesli ime stikala (StikaloDIPL), zaščito na

stikalu (password – diploma in secret – cokan), sporočilo administratorjem (banner motd)

in nato še izboljšali varnost. Za to smo uporabili ukaza switchport port-security maxium 1

in switchport port-security mac-address sticky. To pomeni, da so vrata na stikalu omejena

na 1 mac naslov, in da se mac naslov naprave shrani v stikalo. Tako ima samo ista

naprava omogočen dostop. Pri spremembi naprave moramo ponastaviti vrata na stikalu. Z

ukazom switchport port-security violation shutdown onemogočimo vrata, če pride do

kršitve.

Nastavitve na stikalu si sledijo po tem vrstnem redu:


51

Switch>enable

- nastavitev terminala

Switch#configure terminal

- spreminjanje ime stikala

Switch(config)#hostname StikaloDIPL

- sporočilo administratorjem

StikaloDIPL(config)#banner motd Diplomska naloga ! (Enter)

Aljaz Cokan

E1010273

(končali s tipkama D in enter)

- vključitev gesla

StikaloDIPL(config)#enable password diploma

- vključitev gesla za vstop v privilegiran način

StikaloDIPL(config)#enable secret cokan

– določitev vrat

StikaloDIPL(config)#interface FastEthernet0/1

– mac naslov trenutne naprave se shrani v stikalo

StikaloDIPL(config-if)#switchport port-security mac-address sticky

- vrata se onemogočijo, če pride do spremembe mac naslova

StikaloDIPL(config-if)#switchport port-security violation restrict

– omejitev vrat na 1 mac naslov

StikaloDIPL(config-if)#switchport port-security maximum 1




Switch>enable

– shranimo vse ukaze v RAM pomnilnik stikala

Switch(config)#copy-running config startup-config Destination filename [startup-

config]?

Building configuration ...

[OK]

S tipko enter potrdimo ukaze.

52

Slika 41: Nastavitve stikala.

Slika 41 prikazuje vmesnik nastavitve na stikalu. Osnovne nastavitve lahko nastavljamo

pod zavihkom Nastavitve (Config), ostale nastavitve pa pod zavihkom CLI. V praksi se

uporablja CLI zavihek, saj je tako omogočen lažji nadzor (slika 42).

53

Slika 42: CLI vmesnik za vnos nastavitev stikala.

Slika 43 prikazuje končni rezultat. Vrata stikala ne posredujejo naslova IP do računalnika

PC3, saj so vrata izključena. Če priključimo računalnik (PC3) v vključena vrata, zaradi

naslova MAC stikalo računalniku ne dodeli naslova IP.

54

Slika 43: PC3 ne dobi naslova IP.

5.4 Nastavitve računalnikov in telefona

Pri prenosnih računalnikih smo najprej vstavili brezžični modul pri izključenem

računalniku, nato smo izbrali brezžični modul (slika 44), ga vstavili v priključek ter vključili

računalnik.

Brezžično povezavo lahko nastavimo neposredno v nastavitvah modulov (slika 44). Pri

telefonu pa lahko nastavimo nastavitve samo v neposrednem načinu (slika 46), v katerem

smo najprej vključili modul (On), vnesli ime omrežja (Diploma), vrsto overitve (WPA2),

vpisali uporabniško ime (aljaz), geslo (cokan) ter tip šifriranja (TKIP). Priporočamo

vnašanje podatkov na namizju računalnika, saj gre za uporabniško prijaznejši vnos

podatkov.

55

Slika 44: Vnos brezžičnega modula. Slika 45: Nastavitev brezžične povezave na

prenosnem računalnikov.

Slika 46: Nastavitev brezžične povezave na pametnem telefonu.

S klikom na namizje smo izbrali brezžično kartico PC Wireless in jo odprli (slika 47). Izbrali

smo zavihek Povezljivost (Connected), ki nam je pokazal vsa aktivna brezžična omrežja

(slika 48). V primeru, da želimo vzpostaviti povezavo z omrežjem, pritisnemo tipko Poveži

(Connect). Ker nimamo ustvarjenega pravega profila, s pravim uporabniškim imenom ter

geslom, ne moremo vzpostaviti povezave (slika 49).

56

Slika 47: Osnovni meni. Slika 48: Vsa brezžična omrežja.

Slika 49: Če želimo vzpostaviti povezavo, nas vmesnik opozori, da moramo najprej

ustvariti profil.

Postavili smo se pod zavihek Profili (Profiles), kjer smo z gumbom Nov (New) ustvarili nov

profil (slika 50) in izbrali želeno omrežje (slika 51). Nato smo izbrali gumb Napredne

nastavitve (Advanced Setup). Če se želimo povezati z brezžičnim usmerjevalnikom ali

57

dostopovno točko, izberemo Infrastrukturni način (Infrastructure mode). Če se želimo

povezati neposredno na katero brezžično napravo, uporabimo Ad-Hoc način (Ad-Hoc

mode).

Slika 50: Ustvarjanje uporabnika. Slika 51: Izbira omrežja.

Slika 52: Izbira brezžične povezave Slika 53: Nastavitve omrežja.

(na usmerjevalnik, dostopovno točko ali na brezžično napravo).

Na sliki 52 vidimo avtomatičen izbor naslova IP (DHCP), saj je nastavljeno avtomatično

dodeljevanje IP naslovov na usmerjevalniku. Če te izbire ne bi imeli, bi morali določiti

naslov IP statično. Naslednja izbira je bila izbira overitve, ki smo jo nastavili na

usmerjevalniku. V našem primeru WPA2 Enterprise (slika 54).

58

Slika 54: Izbira overitve.

Nato smo pregledali vse nastavitve in z gumbom Shrani (Save) potrdili ustvarjen profil, kar

prikazujeta sliki 55 in 56. Čez čas so se povezale vse naprave, kot prikazuje slika 57.

Slika 55: Pregled nastavitev. Slika 56: Pregled profila.

59

Slika 57: Uspešna vzpostavitev brezžične povezave.

60

6 SKLEP

Skozi diplomsko delo smo temeljito spoznali protokol IEEE 802.1x, ki omogoča omrežno

varnost na osnovi skladnosti varnostne politike. Z uvedbo protokola lahko vzpostavimo

zaščito v omrežjih. S pravilno izbiro naprav za zaščito (strežnik, stikalo, usmerjevalnik) in

nastavitev le-teh lahko zmanjšamo nevarnosti v infrastrukturi ter zagotovimo varnost na

končnih napravah oziroma pri uporabnikih.

Zastavljene cilje naloge smo dosegli. Z delom smo začeli pri fizični postavitvi omrežja, s

spoznavanjem omrežne opreme in njeno uporabo. Strežniku smo kreirali bazo

uporabnikov in naprav, s katerimi smo lahko upravljali, dodeljevali DHCP in DNS ter

skrbeli za varnostno politiko.

Stikalo omogoča priključitev več naprav na omrežje ter nato na usmerjevalnik, ki je most

do zunanjega omrežja oz. WAN-a. Za urejeno in nadzorovano infrastrukturno omrežje se

uporabljajo navidezna omrežja, pri katerih moramo biti previdni pri konfiguraciji.

S protokolom IEEE 802.1x smo spoznali njegovo delovanje oz. uporabo ter notranje

mehanizme. To je protokol druge OSI plasti, ki določa nadzorovan dostop do omrežja, ki

je zasnovan na ravni vrat na stikalu oz. usmerjevalniku. Notranji mehanizmi so protokoli,

ki se uporabljajo za komunikacijo med napravami. Protokol EAP je namenjen overjanju od

točke do točke, EAP-TLS je namenjen overjanju z digitalnimi certifikati, protokol PEAP –

MSCHAPv2 pa je namenjen overjanju certifikatov s strani strežnika. To pomeni, da nam

strežnik dodeli certifikat. RADIUS uporablja model AAA za upravljanje prosilcev pri

priključitvi v omrežje. Osnovni princip je zelo preprost, saj gre samo za stikalo, ki glede na

naslov MAC dodeli dostop oz. postavi napravo v določeno navidezno omrežje. Zaščita na

stikalih je zelo pomembna, zaradi zaščite fizičnega dostopa v omrežje.

Dobra osnova in vsestranska uporabnost protokola IEEE 802.1x sta pomembni za

zanesljivo delovanje. Za nadgrajevanje se uporabljajo strežniki, s katerimi ustvarimo

varnostno politiko in skupinsko politiko glede na uporabnika oz. napravo, z usmerjevalniki

pa lahko nastavimo dostop do omrežja WAN-a in požarni zid. Vse naprave, ki skrbijo za

omrežje, je priporočljivo podvojiti in dodati pomožne napajalne vire. Če pride do okvare

naprave, druga naprava samodejno prevzame vlogo okvarjene naprave. Pri izpadu

električne energije pa se vključijo pomožni generatorji ali baterije, s pomočjo katerih

delujejo naprave do ponovne vzpostavitve električnega omrežja.

Pri fizičnem vdoru v omrežje napadalec nima dostopa, pod pogojem, da je overitev

pravilno nastavljena. Pri strežnikih lahko poleg varnostne politike nastavljamo še

61

skupinsko politiko in s tem dodatno omejimo uporabnika oz. napravo. Tako lahko

dosežemo zelo dobro zaščito omrežja v podjetju.

Če povzamemo, je protokol IEEE 802.1x zelo priporočljiva rešitev za podjetja, ki se tudi

pogosto uporablja, saj je tako omrežje dobro zaščiteno pred potencialnimi vdori

nepovabljenih uporabnikov in se s tem tveganje zmanjša.

62

7 VIRI

1 CISCO. Identfy – based Networking Services: IEEE 802.1X Deployment Guide. 2010.

2 CISCO. IP telephony for 802.1x design guide. Dostopno na:

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-

99/IP_Tele/IP_Telephony_DIG.html [15. 4. 2014].

[3] Jurič Gregor. Standardi v lokalnih brezžičnih omrežjih in zaščita v praksi. Maribor:

Fakulteta za varnostne vede, 2013

4 Kurose James F. Ross, Keith W. Compiled from Computer networking. England:

Harlow, 2014

Stergar,J. Uvod v usmerjanje. Dostopno na: http://www.s-

sers.mb.edus.si/gradiva/rac/moduli/upravljanje_ik/60_rip/10_datoteka.html [27. 4. 2014].

5 Wikipedia: AAA protocol. Dostopno na: http://en.wikipedia.org/wiki/AAA_protocol

13. 3. 2013.

6 Wikipedia: Extensible Authentication Protocol. Dostopno na:

http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol 13. 3. 2013.

7 Wikipedia: IEE 802.1X.. Dostopno na: http://en.wikipedia.org/wiki/IEEE_802.1X 13. 3.

2013.

8 Wikipedia: Radius. Dostopno na: http://en.wikipedia.org/wiki/RADIUS 13. 3. 2013.

[9] Šifriranje Ključev. Dostopno na: https://www.comodo.com [10. 12. 2014].

[10] CISCO. AV pari. Dostopno na:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter0

9186a008007e364.html [25. 1. 2015]

[11] Čulk Jelka. Elektronsko poslovanje. Ljubljana: fakulteta za upravo, 2003.

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/IP_Tele/IP_Telephony_DIG.html%20%5b15

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/IP_Tele/IP_Telephony_DIG.html%20%5b15

http://www.s-sers.mb.edus.si/gradiva/rac/moduli/upravljanje_ik/60_rip/10_datoteka.html%20%5b27

http://www.s-sers.mb.edus.si/gradiva/rac/moduli/upravljanje_ik/60_rip/10_datoteka.html%20%5b27

http://en.wikipedia.org/wiki/AAA_protocol

http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

http://en.wikipedia.org/wiki/IEEE_802.1X

http://en.wikipedia.org/wiki/RADIUS

https://www.comodo.com/

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a008007e364.html%20%5b25

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a008007e364.html%20%5b25

63

8 PRILOGE

8.1 Naslov študenta

Ime in priimek: Aljaž Cokan

Naslov: Šmarška cesta 20

Pošta: 3320 Velenje

Tel.študenta: 040 502 695

e-mail študenta: [email protected]

Documents

PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM …